“怎么样,我们的损失大不大?”温良脸上水静无波,心绪平静。
重视没错,可反正事情已经发生,怎么都得接受,没必要为难自己,面对就完事了。
李泽爽朗的笑声从听筒中传出:“不用着急,我们现在还是零损失!”
“嗯?”
“好奇吧?”
“当然,老苗头给我的消息,能严重到他都知道……”
“原来如此!”
说着,李泽收敛了笑意:“知道你身边有人,排查也花了不少时间,就没有着急联系你,从目前的情况来看,已经可以肯定我们会受到的影响微乎其微,可以忽略不计。”
接着李泽详细解释了情况:“我们所有对外的服务系统里面只有早期Apache刚推出时用过这个日志组件,后来因为其开源特性我们弃用了。”
“其中,因为星辰云系统我们花了很大心血自主研发,几乎所有第三方开源组件都只是以作参照物而不会并入正式版,所以星辰云服务等对外的企业级产品也不受影响。”
“而目前逐步进入试点运行的星辰服务系统更是甚少引入过第三方开源组件。”
“另一方面,因为星辰体系的完全自主研发性质,对一些模块的定义是与目前主流系统全然不同的,比如很大一部分适用于其它系统平台的命令行乃至调用参数的方式等都存在一些定义层面的不同……这当时是因为要规避各类专利侵权风险。”
“总之,得益于你最开始强调的合规性、自主性,我们所有的自主平台在初期虽然走得十分艰难,需新造了一套体系,但也正因为如此,所以因与众不同而安全。”
说完这些,李泽转而说道:“根据集团网络安全与用户隐私大部门下的网络安全部门反馈,这个漏洞已被阿里云提交给了Apache,另据可靠消息Apache已经开始测试补丁方案,不日将推出。”
“公司相关人员经过海量分析,评估出了这个日志组件漏洞的影响范围,比非常严重还要严重,预估是近年来发现的最严重的计算机漏洞!”
“攻击门槛之低超乎想象,攻击者能通过攻击漏洞获得的操作权限堪称无限!而且据不完全统计,几乎所有Java类框架都会用这个日志组件,使用范围之广也很罕见。”
听完李泽简短的描述,温良笑了起来:“准备准备,阿里系要遭大殃了。”
“怎么说。”李泽没有着急激动,连语气都认真了起来。
温良耐心的回答道:“阿里云发现了漏洞并报告给开发的行业组织Apache,哪怕只是优先报告,在后续交流中知道漏洞的影响范围有共享给包括工信在内的相关主管单位,也没事;
但阿里云没有,不仅是发现时不共享,也不仅仅是知道严重情况后还不共享,哪怕是在工信现在已经主动发现了漏洞的情况下,还是没有通气……
偏偏漏洞影响范围广、攻击门槛低、攻击还堪称无所不在,又是在这种关键时候,你说他不遭殃,谁遭殃?”
李泽很快想到了关键点:“印象中相关单位的流程不是很清晰,而且阿里云是普通企业,能找借口解释吧?”
温良反问:“你觉得以阿里云当下的发展态势,它家业务广泛不?”
“明白了。”李泽这才兴奋起来,“我会好好准备的,你且等着看戏吧,我们在前期因为没法拿到专利授权、初期因为阿美莉卡人为管束得不到新授权所多花费的每一分研发成本都会在不久的将来赚回来!”
温良倒是很平静:“不要先出头,等一等工信的公告,也别通知友商了,能通知他们的时候会有人主动通告的,我们不要多管闲事。”
李泽应声。
结束通话后,温良翻了翻手机,查收了一封几分钟前才抄送给他的公司邮件,内容是简明扼要的描述了这个叫Log4j2的组件漏洞前因后果和影响范围。
没有因邮件收件方可能不懂技术而缩略技术分析过程。
博浪的内部流程本来就有一些规定,湖弄的事情不是没有,而是只要带了脑子就不会把掺杂湖弄的事情抄送给温良他们这些高管。
温良他们是可能不懂技术,但偌大一个博浪,难道找不出一个懂技术的?
而且泛技术部门的人只要带了脑子上班,就应当清楚主要的两个经常在公司出没的技术总工是创始人团队成员。
一个是李博文,一个是孙宝银。
更别说另一创始人团队成员张郁林是自研操作系统总工啊……这踏马去湖弄技术内容,比主动离职要更痛快一些。
事实上,让温良去敲代码是真敲不出来,但让他看技术流程原理……呵呵,你说他能懂不懂吧。
这几把东西如果毫无参照的情况下,确实模模湖湖,但真要有内容摆在眼前,那是能轻易串起来的。
翻了三分钟的样子,温良啧啧称叹:“这都属于惯性思维漏洞了,如果当时我还在技术岗位,这玩意估计我有可能发现……”
“居然敢相信人类的输入每次都无误……啧啧啧……”
他还真不是自吹自擂。
李泽之所以说这个漏洞的攻击门槛低到令人发指真有原因,就只是一个简单的输入错误……比如在输入url时加入一个空格……就可以绕过各种各样的校验,直接在被访问的机器乃至一整个局域网内执行被预先设定好的任意内容,是任意内容。
什么读取文件等等那不过是轻而易举的事情。
Log4j2日志组件功能很强大,可惜对各类参数的判断不严谨。
总之,以温良曾经写代码时的那种模块化思维,很容易发现原生组件代码里定义的判断条件不严谨。
所以……按照后世阿里云方面的辩解,说初期不知道漏洞的严重性,属于公关术语。
跟技术一点关系没有。
纯粹是阿里系内部真的……有点烂。
不仅是上层没有相关心思,就连技术层面也可能没想过要通知国内主管单位,预防网络安全风险。
因为这是个发现以后就会知道很低级但很严重的错误。
…………
晚8点多,温良刚回到下榻酒店,那边厢老苗头的秘书应召来到了老苗家。
与秘书同来的还有一个工程师主管。
有亲自参与了此次严重漏洞处理过程。
老苗头面色缓和且儒雅,坐姿端庄大气,是那种大老应有的模样,不似约莫半小时前那种散漫样儿。
连此前有些散的头发也又变得一丝不苟了。
秘书跟着老苗头也有几年了,当然知道他的脾性,主动的直接汇报起来:“经过与友邻单位的合作,紧急排查抢修,已完全所有重点单位主要服务器的漏洞修复,也形成了简单的临时规避解决方案。”
“据目前统计,其中国防科工等几个重点单位的对外服务器均有证据表明有通过该漏洞的入侵,部分资料有被非法访问痕迹,总次数超过千次……
其中部分单位近期连番遭遇海量网络攻击疑似与此漏洞有关。”
“某单位可能有机密等级的电子文件被非法访问……”
一五一十的描述完毕后,秘书轻吸了一口气:“根据和友邻单位的初步共同研判,此次漏洞造成的潜在损失可能超过了棱镜。”
“这个漏洞之简单,攻击之深度……实在是过于罕见,据可靠消息,Apache方面会将此漏洞列为CVSS通用漏洞评分系统最高级别的10分,超危险。”
秘书汇报完毕后,看向一旁同来的工程师主管:“其它方面还请林工来补充。”
林工当仁不让,补充了重点:“经过系统性分析,此漏洞原理十分简单,一经发现即可轻易判断危险等级,常规情况下触发概念不大,但触发门槛十分低,总计只需要编写三行代码。”
“……此外,经友邻单位的综合信息汇总,基于星辰内核衍生而立的重点单位内部系统上因无法装载该漏洞日志组件,且因不支持触发漏洞的其中一个JNDI接口,从而完全无法被攻击,也包括所有以星辰内核衍生的操作系统产品;
其中单位试点使用于非关键服务的星辰云,也因此没有这个漏洞。”
“已较为常态使用的阿里云产品,则全部发现了这个漏洞,阿里云的维护工程师至今仍没有通报该漏洞,也没有进行临时规避解决……”
老苗头都忍不住在心中腹诽:“艹。”
他是真无语了。
怎么踏马能有这种单位!
他可是那么儒雅随和的人啊!
都忍不住生艹了。
随后,老苗头做出了决定:“既然已经形成了临时规避解决方案,也有了初步结论,即刻将风险通告给更广泛范围。”
“三小时后正式对外发公告。”
秘书依言记下,在斟酌中提出了自己的建议:“是否等到明天白天?”
老苗头直接否决:“没有必要再等了。”
之后,秘书先帮忙将林工送出了老苗家,然后又折返回去,他知道老苗头还有指示。
老苗头直接安排:“明天上午发起个会议,商议信息安全风险规范建设、以及商量如何组建常态化信息安全防范组织。”
“公告中要体现出对阿里云的处罚决定吗?”秘书问了个特别的问题。
老苗头摇头:“等大家商量之后再决定。”
最后又说了句:“把星辰、星辰云的表现结果告诉温良。”
秘书再次点头。
…………
稍晚些时候,温良就收到了信息通知。
温良又通知了李泽,让他随时准备出击。
如此这般,因为一个漏洞,这个前半夜国内无数互联网公司、信息科技公司的技术支撑部门全都忙成了一锅粥。
尽管损失可能已经造成,但也正因为此,必须得抓紧每一分钟赶紧把漏洞处理干净,别再造成新损失。
不能说一个人黑进来是黑,十个人黑进来也是黑这种叼话。
随后,深夜11点多,工信下属网安局发布了工作动态公告。
《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》
公告内容表示:
『阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会……
10月25日,网安下属职员日常巡查发现阿帕奇Log4j2组件存在严重安全漏洞,已开展漏洞风险分析与排查及修复……
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞……
为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞官方补丁发布,现将临时解决方案下发。
网安将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全……』
深夜发布公告这一举动,自然很快触动了各类群体。
也很快被广泛传播。
引发了夜猫子吃瓜网友的各类谈论。
很快,向来擅长于熬夜的程序猿们纷纷冒泡,通过各种渠道表达了对事件的关注。
网友们也聊得热火朝天。
“这次工信反应好快啊,居然还完成了临时解决方案,有点意外。”
“我文科生不懂这些东西,不过从公告中发现了个比较有意思的点,这漏洞是阿里云发现的,但只通告了阿帕奇,没有通告网安,还是网安自己发现的,有没有懂行的说一说这个漏洞到底有多大影响?”
秃头是我身为强者的尊严:“刚阅读了临时解决方案和漏洞情况,影响范围怎么说呢……只要是联网机器,只要使用了这个组件,底裤都能被看光的程度,据我所知,这个Log4j2是去年阿帕奇重点推出的日志组件项目;
目的是为了应对加入阿帕奇又退出阿帕奇并开发了Log4j的作者新作Slf4j……总之,因为阿帕奇组织下的Apache是全世界排名第一的web服务器,所以嘛……Log4j2现在的使用范围你懂的。”
熬夜是我的保护色:“只能说吓出一身冷汗,我反正是感觉有点完犊子了。”
每献祭一根头发即可技术+1:“我发现了个有意思的事情,博浪可能是此次漏洞中的最佳躺赢选手,出于好奇,我刚才自建环境复现漏洞,因为我还比较喜欢新鲜事物,所以我有一台星海工作站……尝试搭建环境时发现星辰桌面系统不支持这个日志组件,官方文档中有自带日志组件,也不支持JNDI接口;
有意思的是,我随后打开‘星辰灵境’运行Windows,成功复现漏洞,并且执行了攻击操作……
好在‘星辰灵境’是通俗的特别沙盒模式运行,可以通过攻击随意操作运行的Windows系统任意内容,包括读取文件,但不会影响到主系统星辰桌面,换句话说,无论怎么搞,星辰类系统不受这个超罕见超危险漏洞影响。”
我是每天睡不着所以晚上吃瓜的选手:“6666,还有这种操作,那岂不是说星辰系统是目前全球最安全系统?”
“我觉得吧,我终于找到了网上所有批评博浪重复造轮子的反击方式!
!”
“……”
-
重视没错,可反正事情已经发生,怎么都得接受,没必要为难自己,面对就完事了。
李泽爽朗的笑声从听筒中传出:“不用着急,我们现在还是零损失!”
“嗯?”
“好奇吧?”
“当然,老苗头给我的消息,能严重到他都知道……”
“原来如此!”
说着,李泽收敛了笑意:“知道你身边有人,排查也花了不少时间,就没有着急联系你,从目前的情况来看,已经可以肯定我们会受到的影响微乎其微,可以忽略不计。”
接着李泽详细解释了情况:“我们所有对外的服务系统里面只有早期Apache刚推出时用过这个日志组件,后来因为其开源特性我们弃用了。”
“其中,因为星辰云系统我们花了很大心血自主研发,几乎所有第三方开源组件都只是以作参照物而不会并入正式版,所以星辰云服务等对外的企业级产品也不受影响。”
“而目前逐步进入试点运行的星辰服务系统更是甚少引入过第三方开源组件。”
“另一方面,因为星辰体系的完全自主研发性质,对一些模块的定义是与目前主流系统全然不同的,比如很大一部分适用于其它系统平台的命令行乃至调用参数的方式等都存在一些定义层面的不同……这当时是因为要规避各类专利侵权风险。”
“总之,得益于你最开始强调的合规性、自主性,我们所有的自主平台在初期虽然走得十分艰难,需新造了一套体系,但也正因为如此,所以因与众不同而安全。”
说完这些,李泽转而说道:“根据集团网络安全与用户隐私大部门下的网络安全部门反馈,这个漏洞已被阿里云提交给了Apache,另据可靠消息Apache已经开始测试补丁方案,不日将推出。”
“公司相关人员经过海量分析,评估出了这个日志组件漏洞的影响范围,比非常严重还要严重,预估是近年来发现的最严重的计算机漏洞!”
“攻击门槛之低超乎想象,攻击者能通过攻击漏洞获得的操作权限堪称无限!而且据不完全统计,几乎所有Java类框架都会用这个日志组件,使用范围之广也很罕见。”
听完李泽简短的描述,温良笑了起来:“准备准备,阿里系要遭大殃了。”
“怎么说。”李泽没有着急激动,连语气都认真了起来。
温良耐心的回答道:“阿里云发现了漏洞并报告给开发的行业组织Apache,哪怕只是优先报告,在后续交流中知道漏洞的影响范围有共享给包括工信在内的相关主管单位,也没事;
但阿里云没有,不仅是发现时不共享,也不仅仅是知道严重情况后还不共享,哪怕是在工信现在已经主动发现了漏洞的情况下,还是没有通气……
偏偏漏洞影响范围广、攻击门槛低、攻击还堪称无所不在,又是在这种关键时候,你说他不遭殃,谁遭殃?”
李泽很快想到了关键点:“印象中相关单位的流程不是很清晰,而且阿里云是普通企业,能找借口解释吧?”
温良反问:“你觉得以阿里云当下的发展态势,它家业务广泛不?”
“明白了。”李泽这才兴奋起来,“我会好好准备的,你且等着看戏吧,我们在前期因为没法拿到专利授权、初期因为阿美莉卡人为管束得不到新授权所多花费的每一分研发成本都会在不久的将来赚回来!”
温良倒是很平静:“不要先出头,等一等工信的公告,也别通知友商了,能通知他们的时候会有人主动通告的,我们不要多管闲事。”
李泽应声。
结束通话后,温良翻了翻手机,查收了一封几分钟前才抄送给他的公司邮件,内容是简明扼要的描述了这个叫Log4j2的组件漏洞前因后果和影响范围。
没有因邮件收件方可能不懂技术而缩略技术分析过程。
博浪的内部流程本来就有一些规定,湖弄的事情不是没有,而是只要带了脑子就不会把掺杂湖弄的事情抄送给温良他们这些高管。
温良他们是可能不懂技术,但偌大一个博浪,难道找不出一个懂技术的?
而且泛技术部门的人只要带了脑子上班,就应当清楚主要的两个经常在公司出没的技术总工是创始人团队成员。
一个是李博文,一个是孙宝银。
更别说另一创始人团队成员张郁林是自研操作系统总工啊……这踏马去湖弄技术内容,比主动离职要更痛快一些。
事实上,让温良去敲代码是真敲不出来,但让他看技术流程原理……呵呵,你说他能懂不懂吧。
这几把东西如果毫无参照的情况下,确实模模湖湖,但真要有内容摆在眼前,那是能轻易串起来的。
翻了三分钟的样子,温良啧啧称叹:“这都属于惯性思维漏洞了,如果当时我还在技术岗位,这玩意估计我有可能发现……”
“居然敢相信人类的输入每次都无误……啧啧啧……”
他还真不是自吹自擂。
李泽之所以说这个漏洞的攻击门槛低到令人发指真有原因,就只是一个简单的输入错误……比如在输入url时加入一个空格……就可以绕过各种各样的校验,直接在被访问的机器乃至一整个局域网内执行被预先设定好的任意内容,是任意内容。
什么读取文件等等那不过是轻而易举的事情。
Log4j2日志组件功能很强大,可惜对各类参数的判断不严谨。
总之,以温良曾经写代码时的那种模块化思维,很容易发现原生组件代码里定义的判断条件不严谨。
所以……按照后世阿里云方面的辩解,说初期不知道漏洞的严重性,属于公关术语。
跟技术一点关系没有。
纯粹是阿里系内部真的……有点烂。
不仅是上层没有相关心思,就连技术层面也可能没想过要通知国内主管单位,预防网络安全风险。
因为这是个发现以后就会知道很低级但很严重的错误。
…………
晚8点多,温良刚回到下榻酒店,那边厢老苗头的秘书应召来到了老苗家。
与秘书同来的还有一个工程师主管。
有亲自参与了此次严重漏洞处理过程。
老苗头面色缓和且儒雅,坐姿端庄大气,是那种大老应有的模样,不似约莫半小时前那种散漫样儿。
连此前有些散的头发也又变得一丝不苟了。
秘书跟着老苗头也有几年了,当然知道他的脾性,主动的直接汇报起来:“经过与友邻单位的合作,紧急排查抢修,已完全所有重点单位主要服务器的漏洞修复,也形成了简单的临时规避解决方案。”
“据目前统计,其中国防科工等几个重点单位的对外服务器均有证据表明有通过该漏洞的入侵,部分资料有被非法访问痕迹,总次数超过千次……
其中部分单位近期连番遭遇海量网络攻击疑似与此漏洞有关。”
“某单位可能有机密等级的电子文件被非法访问……”
一五一十的描述完毕后,秘书轻吸了一口气:“根据和友邻单位的初步共同研判,此次漏洞造成的潜在损失可能超过了棱镜。”
“这个漏洞之简单,攻击之深度……实在是过于罕见,据可靠消息,Apache方面会将此漏洞列为CVSS通用漏洞评分系统最高级别的10分,超危险。”
秘书汇报完毕后,看向一旁同来的工程师主管:“其它方面还请林工来补充。”
林工当仁不让,补充了重点:“经过系统性分析,此漏洞原理十分简单,一经发现即可轻易判断危险等级,常规情况下触发概念不大,但触发门槛十分低,总计只需要编写三行代码。”
“……此外,经友邻单位的综合信息汇总,基于星辰内核衍生而立的重点单位内部系统上因无法装载该漏洞日志组件,且因不支持触发漏洞的其中一个JNDI接口,从而完全无法被攻击,也包括所有以星辰内核衍生的操作系统产品;
其中单位试点使用于非关键服务的星辰云,也因此没有这个漏洞。”
“已较为常态使用的阿里云产品,则全部发现了这个漏洞,阿里云的维护工程师至今仍没有通报该漏洞,也没有进行临时规避解决……”
老苗头都忍不住在心中腹诽:“艹。”
他是真无语了。
怎么踏马能有这种单位!
他可是那么儒雅随和的人啊!
都忍不住生艹了。
随后,老苗头做出了决定:“既然已经形成了临时规避解决方案,也有了初步结论,即刻将风险通告给更广泛范围。”
“三小时后正式对外发公告。”
秘书依言记下,在斟酌中提出了自己的建议:“是否等到明天白天?”
老苗头直接否决:“没有必要再等了。”
之后,秘书先帮忙将林工送出了老苗家,然后又折返回去,他知道老苗头还有指示。
老苗头直接安排:“明天上午发起个会议,商议信息安全风险规范建设、以及商量如何组建常态化信息安全防范组织。”
“公告中要体现出对阿里云的处罚决定吗?”秘书问了个特别的问题。
老苗头摇头:“等大家商量之后再决定。”
最后又说了句:“把星辰、星辰云的表现结果告诉温良。”
秘书再次点头。
…………
稍晚些时候,温良就收到了信息通知。
温良又通知了李泽,让他随时准备出击。
如此这般,因为一个漏洞,这个前半夜国内无数互联网公司、信息科技公司的技术支撑部门全都忙成了一锅粥。
尽管损失可能已经造成,但也正因为此,必须得抓紧每一分钟赶紧把漏洞处理干净,别再造成新损失。
不能说一个人黑进来是黑,十个人黑进来也是黑这种叼话。
随后,深夜11点多,工信下属网安局发布了工作动态公告。
《关于阿帕奇Log4j2组件重大安全漏洞的网络安全风险提示》
公告内容表示:
『阿帕奇(Apache)Log4j2组件是基于Java语言的开源日志框架,被广泛用于业务系统开发。近日,阿里云计算有限公司发现阿帕奇Log4j2组件存在远程代码执行漏洞,并将漏洞情况告知阿帕奇软件基金会……
10月25日,网安下属职员日常巡查发现阿帕奇Log4j2组件存在严重安全漏洞,已开展漏洞风险分析与排查及修复……
该漏洞可能导致设备远程受控,进而引发敏感信息窃取、设备服务中断等严重危害,属于高危漏洞……
为降低网络安全风险,提醒有关单位和公众密切关注阿帕奇Log4j2组件漏洞官方补丁发布,现将临时解决方案下发。
网安将持续组织开展漏洞处置工作,防范网络产品安全漏洞风险,维护公共互联网网络安全……』
深夜发布公告这一举动,自然很快触动了各类群体。
也很快被广泛传播。
引发了夜猫子吃瓜网友的各类谈论。
很快,向来擅长于熬夜的程序猿们纷纷冒泡,通过各种渠道表达了对事件的关注。
网友们也聊得热火朝天。
“这次工信反应好快啊,居然还完成了临时解决方案,有点意外。”
“我文科生不懂这些东西,不过从公告中发现了个比较有意思的点,这漏洞是阿里云发现的,但只通告了阿帕奇,没有通告网安,还是网安自己发现的,有没有懂行的说一说这个漏洞到底有多大影响?”
秃头是我身为强者的尊严:“刚阅读了临时解决方案和漏洞情况,影响范围怎么说呢……只要是联网机器,只要使用了这个组件,底裤都能被看光的程度,据我所知,这个Log4j2是去年阿帕奇重点推出的日志组件项目;
目的是为了应对加入阿帕奇又退出阿帕奇并开发了Log4j的作者新作Slf4j……总之,因为阿帕奇组织下的Apache是全世界排名第一的web服务器,所以嘛……Log4j2现在的使用范围你懂的。”
熬夜是我的保护色:“只能说吓出一身冷汗,我反正是感觉有点完犊子了。”
每献祭一根头发即可技术+1:“我发现了个有意思的事情,博浪可能是此次漏洞中的最佳躺赢选手,出于好奇,我刚才自建环境复现漏洞,因为我还比较喜欢新鲜事物,所以我有一台星海工作站……尝试搭建环境时发现星辰桌面系统不支持这个日志组件,官方文档中有自带日志组件,也不支持JNDI接口;
有意思的是,我随后打开‘星辰灵境’运行Windows,成功复现漏洞,并且执行了攻击操作……
好在‘星辰灵境’是通俗的特别沙盒模式运行,可以通过攻击随意操作运行的Windows系统任意内容,包括读取文件,但不会影响到主系统星辰桌面,换句话说,无论怎么搞,星辰类系统不受这个超罕见超危险漏洞影响。”
我是每天睡不着所以晚上吃瓜的选手:“6666,还有这种操作,那岂不是说星辰系统是目前全球最安全系统?”
“我觉得吧,我终于找到了网上所有批评博浪重复造轮子的反击方式!
!”
“……”
-